Zainteresiranim uporabnikom so bile na voljo že beta različice, 27. februarja pa je Windows Server 2008 doživel svetovno premiero (in ne dolgo za tem, 19. marca še uradno slovensko v Portorožu). Pričujoči članek bo nekoliko odgrnil tančico in predstavili glavne novosti, ki jih prinaša Windows Server 2008.
PRILAGODLJIVA NAMESTITEV
Kot smo že navajeni, operacijski sistem Windows Server 2008 (WS2008) dobimo na DVD-mediju. Na istem mediju je več različic operacijskega sistema, namestitev pa temelji na matrici (image) in je občutno hitrejša od predhodnika. Tehnologijo nameščanja poznamo že od Windows Viste – omogoča enostavnejše prilagajanje namestitve, vključevanje dodatnih datotek, komponent in gonilnikov v namestitev ter posodabljanje v off-line načinu.
Na začetku namestitve odgovorimo na minimalno število vprašanj, preostali del namestitve pa poteka brez interakcije z uporabnikom. Ko je sistem nameščen, določimo geslo lokalnega administratorja, nato pa lahko spremenimo še druge privzete nastavitve, npr. časovni pas, omrežne nastavitve in ime računalnika. Pri tem nam je v pomoč okno z začetnimi opravili (Initial Configuration Tasks), kjer so zbrana opravila, ki jih je pametno na začetku opraviti na strežniku.
STREŽNIŠKE VLOGE
Operacijski sistem WS2008 je zasnovan modularno – strežniku določimo vlogo (Roles), v ozadju pa sistem preveri medsebojne odvisnosti in poskrbi, da se namesti vse potrebno. WS 2008 podpira 16 različnih strežniških vlog (17 pri 64-bitni različici strežnika), pri čemer ima lahko strežnik več vlog. Vloga določa glavno namembnost strežnika, npr. domenski strežnik, datotečni strežnik ali terminalski strežnik. Funkcionalnosti (Features) so ločene od strežniških vlog in jih namestimo neodvisno od njih – podprtih jih je 35, npr. ogrodje .NET, upravljanje skupinskih pravilnikov (politik) in podpora za delo v gruči. Administracija vlog in funkcionalnosti poteka prek orodja Server Manager, kamor se tudi dodajajo ustrezna orodja za administracijo nameščenih vlog in funkcionalnosti. Tako imamo na enem mestu pregled nad nameščenimi vlogami in funkcionalnostmi, njihovim stanjem, zadnjimi dogodki, priporočili za nadaljnje delo in orodji za upravljanje strežnika. Žal pa Server Manager omogoča le lokalno upravljanje, z njim se ne moremo povezati v oddaljeni strežnik.
POLNA IN OSNOVNA RAZLIČICA
Že ob namestitvi sistema lahko izbiramo med polno (Full Installation) in različico Server Core (Server Core Installation). Polna različica sistema prinaša grafični vmesnik in je bila do zdaj edino možna, Server Core pa je njeno nasprotje, saj grafičnega vmesnika nima in celotna administracija poteka iz ukazne vrstice (oz. iz oddaljenega sistema, ki ima lahko nameščeno polno različico sistema). Prednost različice Server Core je manjša in hitrejša namestitev, manj posodabljanja (posodabljati je treba le nameščene gradnike sistema), manj možnosti zlorab, običajno pa tudi bolj specializirana vloga. Poleg grafičnega vmesnika Server Core nima številnih drugih komponent, npr. ogrodja .NET in raziskovalca, podpira pa tudi manj strežniških vlog od polne različice. Primarno naj bi se Server Core uporabljal za infrastrukturne vloge (domenski strežnik, datotečni strežnik, DHCP, DNS, Hyper-V ...) in se nameščal na oddaljenih lokacijah, kjer ni lokalnih skrbnikov. Velja opozorilo, da nadgradnja med Server Core in polno različico ni mogoča in je za prehod med njima potrebna nova namestitev.
SPLETNI STREŽNIK
Spletni strežnik je ena od vlog, ki jih lahko opravlja strežnik WS 008. Internet Information Services (IIS) verjetno poznamo že skozi prejšnje različice,v sedmi izvedbi pa je bil deležen temeljite prenove. Zasnovan je povsem modularno, iz več kot 40 gradnikov, ki jih lahko ločeno nameščamo in vključujemo v cevovod, skozi katerega gredo spletne zahteve. Tesno je integriran z ogrodjem ASP.NET, od koder je prevzel porazdeljene nastavitvene datoteke XML na različnih stopnjah (računalnik, spletni strežnik, spletno mesto). Preko modula FastCGI je vključena podpora za PHP, pa tudi za druge programske jezike. Administrativni vmesnik in orodja so temeljito prenovljeni, tako grafično orodje IIS Manager kot administrativno orodje iz ukazne vrstice (Appcmd.exe), dodali pa so tudi nov razred za upravljanje iz ogrodja .NET. Za administracijo na daljavo se uporabljajo enaka orodja, poteka pa preko varnega protokola HTTPS. Administrativna opravila lahko delegiramo, vse do stopnje posamezne nastavitve. Poleg uporabnikom Windows jih lahko delegiramo tudi uporabnikom IIS-ja, ki jih pozna le spletni strežnik, ne pa tudi operacijski sistem, kar je zelo priročno, če naj bi imel uporabnik dostop le to spletnega strežnika, ne želimo pa jim ustvariti uporabniškega imena za Windows. Vlogo spletnega strežnika omogočata tako polna kot različica Server Core, vendar pa Server Core podpira le posredovanje statične vsebine (ker ne vključuje .NET ogrodja in ASP.NET).
DOMENSKI STREŽNIK
Vlogo domenskega strežnika (Active Directory Domain Services, AD DS) so pri strežniku WS2008 preimenovali, dodali pa so še nekaj drugih, z aktivnim imenikom povezanih vlog (AD Certificate Services, AD Federation Services ). Kot smo navajeni, domenski strežnik vzpostavimo ob uporabi čarodeja DCpromo, ki ima številne nove možnosti, na primer, nastavimo lahko funkcionalno stopnjo domene, izberemo lokacijo (Site) in domeno, v katero želimo dodati domenski strežnik, strežniku dodamo še vlogo globalnega kataloga ali DNS-strežnika in na koncu lahko vse odgovore shranimo v datoteko, ki je uporabna pri nenadzorovani namestitvi. Če je funkcionalna stopnja domene WS 2008, imamo lahko znotraj iste domene različne pravilnike gesel (dolžina, kompleksnost, pogostost spreminjanja), ki jih vežemo na uporabnike ali skupine (pozor, ne na OU!). Orodja za administracijo aktivnega imenika so zbrana tudi v orodju Server manager, urejevalnik lastnosti objektov aktivnega imenika pa je postal kar del orodja Active Directory Users and Computers (prej smo uporabljali ločeno orodje ADSIEdit). Storitev aktivnega imenika na domenskem strežniku lahko ustavimo in na primer opravimo off-line defragmentacijo aktivnega imenika brez ponovnega zagona strežnika. Razširili so možnost beleženja sprememb v aktivnem imeniku, kjer poleg podatkov, kdo, kdaj in kje je opravil spremembo, lahko shranimo tudi vrednost pred spremembo in po njej. Ne nazadnje lahko naredimo posnetek (snapshot) aktivnega imenika in nato primerjamo stanje objektov med posnetki.
Ena od novosti aktivnega imenika je domenski strežnik, ki deluje le v načinu branja (Read Only Domain Controller, RODC). Po vsebini je podoben navadnemu domenskemu strežniku, le da ne hrani podatkov o geslih in ne omogoča sprememb – te opravimo na navadnem strežniku DC, od tam pa se prenesejo na RODC. Seveda lahko nastavimo, da se podatki o geslih uporabnikov hranijo na RODC ter tako pospešimo njihovo prijavo, kakor tudi katere lastnosti in gesla katerih uporabnikov se ne smejo nikoli shraniti na RODC. V domeni lahko spremljamo, katere uporabnike je posamezen RODC preveril in pri morebitni odtujitvi strežnika ponastavimo njihova gesla. Za vsak RODC lahko določimo, kdo ima na njem lokalne administrativne pravice, kdo je njegov skrbnik. Pri navadnih domenskih strežnikih to ni mogoče, saj administrativne pravice na enem domenskem strežniku samodejno prinesejo administrativne pravice na vseh domenskih strežnikih. RODC je primeren predvsem za lokacije, kjer ne moremo zagotoviti fizične varnosti strežnika – uporabimo ga lahko v kombinaciji s funkcionalnostjo šifriranja diska BitLocker (BitLocker Drive Encryption), vzpostavimo pa ga lahko tudi na različici Server Core WS2008. Pred uvedbo prvega strežnika RODC je treba aktivni imenik ustrezno pripraviti (ukaz Adprep je dobil stikalo /rodcprep), če želimo iz navadnega strežnika DC narediti RODC (ali obratno), pa je treba z ukazom DCPromo odstraniti in ponovno namestiti domenski strežnik.
SKUPINSKI PRAVILNIKI
Skupinski pravilniki (Group Policy, GP) so pri strežniku WS2008 doživelI pomembno evolucijo. Seveda se še vedno uporabljajo za centralno upravljanje nastavitev operacijskega sistema, aplikacij, odjemalcev in strežnikov, prinašajo pa več kot 500 novih nastavitev, npr. za upravljanje izmenljivih naprav, požarnega zidu, upravljanja z energijo, tiskalniki in brezžičnimi povezavami, pa tudi zaščito dostopa do omrežja NAP. Nastavitve skupinskih pravilnikov se na strežniku hranijo ločeno od opisa nastavitev, te pa podpirajo večjezičnost in so shranjene le enkrat, ne glede na število GP-jev. Orodje za administracijo, Group Policy Management Console (GPMC), je vključeno v strežnik WS2008, poleg znanih možnosti pa omogoča izdelavo novih pravilnikov na osnovi predloge (Starter GPOs), na enem mestu imamo pregled nad vsemi nastavitvami GP, ki jih lahko filtriramo po različnih kriterijih, dosedanjim nastavitvam pravilnikov pa so dodali še preference (Preferences). Te omogočajo, da preprosto nastavimo stvari, za katere smo včasih uporabljali skripte, na primer nastavimo sistemske spremenljivke, postavimo mapo v skupno rabo, prekopiramo datoteke ali dodamo ključ v register. Za preference lahko veliko natančneje določimo, za koga naj veljajo, od klasičnih GP-nastavitev pa se razlikujejo tudi po tem, da njihov rezultat na odjemalcih lahko spremenimo. Preference lahko nastavljamo le v strežniku WS 2008 in v Windows Vist SP1, veljajo pa le za odjemalce, ki imajo ustrezno podporo zanje – v strežnik WS 2008 je podpora že vključena, za Windows Visto, Windows Server 2003 SP1 in Windows XP SP2 pa jo lahko brezplačno prenesemo.
ZAŠČITA DOSTOPA DO OMEŽJA
Zaščita dostopa do omrežja (Network Access Protection, NAP) je ena od pogosteje omenjenih novosti, ki jih omogoča strežnik WS 2008. Z uporabo NAP-a dosežemo, da omrežni računalniki ustrezajo pravilniku, ki smo ga določili, npr. imajo nameščen in z zadnjimi definicijami posodobljen protivirusni program ali vključen požarni zid. Če ustrezajo pravilnikom, dobijo poln dostop do omrežja, sicer pa le do dela omrežja, kjer se lahko posodobijo, ali pa dostopa sploh nimajo. Spremljanje skladnosti s pravilnikom je dinamično; če dostop do omrežja že imamo in s spremembo prekinemo skladnost s pravilnikom (npr. izključimo požarni zid), izgubimo poln dostop do omrežja, dokler nastavitve računalnika ponovno ne ustrezajo pravilniku. NAP lahko nastavimo tudi tako, da samodejno poskuša doseči skladnost s pravilnikom – v prejšnjem primeru bi samodejno vključil požarni zid in ponovno omogočil dostop do celotnega omrežja. Za delovanje NAP-a je potrebna podpora tako na strani strežnika kot tudi na strani odjemalca – Windows Vista ali Windows XP SP3. V strežniku lahko tudi nastavimo, kako obravnava odjemalce, ki ne podpirajo NAP-a.
VIRTUALIZACIJA
Strežnik WS2008 že vključuje podporo za virtualizacijo, Hyper-V, a le v 64-bitni različici strežnika. Hyper-V je ena izmed strežniških vlog, na voljo pa je tako pri polni kot pri različici Server Core. Hyper-V omogoča istočasno uporabo več navideznih računalnikov in operacijskih sistemov, podobno kot Virtual PC ali VMWare, le da je integriran v operacijski sistem in ob njeni uporabi tudi sam strežnik WS2008 teče v navideznem okolju. Znotraj osnovnega sistema (Root Partition) vzpostavimo navidezne računalnike (Child Partition), ki jim pripišemo navidezno strojno opremo in v katere namestimo poljuben 32- ali 64-bitni operacijski sistem. Navidezne računalnike upravljamo z orodjem Hyper-V Manager, kjer lahko tudi ustvarimo nove ali se povežemo nanje (za povezavo na navidezen računalnik se uporablja protokol RDP, podobno kot pri povezavi na TS). Pripomnimo, da bo končna različica Hyper-V na voljo v 180 dneh po izidu strežnika WS2008 (s 64-bitno različico strežnika WS2008 zaenkrat dobimo beta različico Hyper-V).
TERMINALSKE STORITVE
Pregled novosti ne bi bil popoln brez omembe terminalskih storitev (Terminal Services, TS). Poznamo jih že od prej, a v WS2008 prinašajo številne pomembne novosti. Terminalsko okno podpira večjo ločljivost (do 4096 x 2048) in se lahko razteza preko več monitorjev. Podprta je preusmeritev lokalnih naprav plug&play, tudi tistih, ki jih priključimo naknadno. Za lokalno tiskanje na odjemalcu iz terminalske seje ni več potrebno nameščanje gonilnikov za tiskalnik v terminalskem strežniku (TS Easy Print). Prek enotne prijave se uporabniku z Windows Vista ali WS2008 postaje ni treba ponovno prijaviti na TS. In če smo bili navajeni, da uporabnik s terminalskimi storitvami dobi celotno namizje, se je to spremenilo – razen celotnega namizja lahko uporabnikom v WS 2008 omogočimo dostop do posameznega programa, ki se izvaja na TS (TS RemoteApp). Tako imajo uporabniki dostop do aplikacije brez njenega nameščanja, lokalno pa skoraj ne moremo razlikovati med aplikacijami, ki se izvajajo lokalno, in tistimi z oddaljenega TS-ja. Do terminalskega strežnika še vedno dostopamo prek protokola RDP, vendar z uporabo TS-prehoda (TS Gateway) dosežemo, da se RDP-promet tunelira znotraj prometa HTTPS. Oddaljeni uporabniki lahko ob uporabi TS-prehoda vzpostavijo varno povezavo s terminalskim strežnikom brez uporabe VPN-kanala. Seveda lahko na TS-prehodu nastavljamo, kdo ga lahko uporablja in kam lahko vzpostavlja povezave. Bližnjice do programov, ki so na voljo na TS-ju, lahko objavimo na posebni spletni strani (TS Web Access), več terminalskih strežnikov pa lahko združimo v farmo, kjer TS Session Broker skrbi, da se vedno povežemo v strežnik, na katerem imamo prekinjeno sejo. Omenimo še funkcionalnost Windows System Resource Manager, s katero lahko omejimo procesorski čas ali količino pomnilnika, ki je na voljo posameznemu uporabniku oz. programu.
PREPRIČAJTE SE SAMI
Kaj povedati za konec? Strežnik WS2008 pomeni pomemben korak naprej in prinaša nekatere novosti, ki smo jih pričakovali že v Windows Serverju 2003 R2. Večino novosti lahko uvedemo postopoma – strežnik WS 2008 dodamo v obstoječe omrežje in jih začnemo uporabljati. NAP, izboljšane terminalske storitve, prenovljeni spletni strežnik IIS 7.0, virtualizacija Hyper-V, RODC, preference skupinskih pravilnikov in Server Core bodo gotovo izzvali precej pozornosti. Z Microsoftovega portala si lahko brezplačno prenesete preizkusno različico strežnika WS 2008, opravimo pa lahko tudi številne on-line vaje. In ne nazadnje so na voljo številni dokumenti in vodniki po funkcionalnostih strežnika WS 2008.
Objavljeno: Moj mikro April 2008 | Slavko Kukrika
